こんにちは、SCSK大口です。
前回の記事では、AWS Certified: SAP on AWS – Specialty の試験概要をご紹介しましたが、本記事からは、サンプル問題を取り上げていきたいと思います。
Question 1
問題
ある企業は、オンプレミスの SAP Business Suite on SAP HANA のワークロードを AWS にリフト&シフトをすることを計画しています。本番データベースのサイズは15TBで本番移行のダウンタイムは、数時間がリミットです。同社は、SAP HANA システムレプリケーションを使用して SAP HANA データベースを移行します。AWSに移行した後、会社のリモートの従業員とビジネスパートナーは、インターネット接続とOpenVPN互換クライアントで安全な方法で、SAP Business Suite on SAP HANA インスタンスに接続する必要があります。これらの要件を満たす接続ソリューションはどれですか?
A)AWSへの移行中、移行後ともに、単一のパブリックサブネットとインターネットゲートウェイを使用して直接インターネット接続を使用する
B)AWSへの移行中に、AWSサイト間VPN接続を使用します。 移行後は、AWS DirectConnect 接続を使用する
C)AWSへの移行中に、AWS DirectConnect接続を使用します。 AWSへ移行後、AWSサイト間VPN接続を使用する
D)AWSへの移行中に、AWS DirectConnect接続を使用します。AWSへ移行後、AWS Client VPN接続を使用する
解説
この問題の説明で、「15 TBのデータの転送には、専用のネットワーク接続と低遅延が必要です。」とあるように、容量15TBのデータベースのデータを移行するのは、Direct Connect しか選択肢の中では考えられないですし、OpenVPN接続は、AWS Client VPN接続を利用すれば実現できるので、解答は、D になります。この問題は、SAPの知識がなくても答えられそうです。
ただ、ここに、SAP Business Suite on SAP HANA と出てくるので少し解説をすると、SAP Business Suite とは、以下の製品群のことを言います。(正確には、SAP Business Suite 7 の製品群です。)
- SAP ERP 6.0 (Enterprise Resource Planning)
- SAP CRM 7.0 (Customer Relationship Management)
- SAP SRM 7.0 (Supplier Relationship Management)
- SAP SCM 7.0 (Supply Chain Management)
- SAP PLM 7.0 (Product Lifecycle Management)
SAPは、その構成として、SAPインスタンスとデータやプログラムを保存するためのデータベースのインスタンスが必要です。同じEC2インスタンスにインストールしても利用できますし、別のEC2インスタンスにそれぞれSAPのソフトウェアとデータベースを導入する構成をとることもできます。
これらの製品は、その時のデータベースとして、SAP HANA、SAP ASE、Oracle、Microsoft SQL Server、IBM DB2 などのデータベースのいずれかを選ぶことができます。様々なDBが利用可能なことから、これを俗に AnyDB と呼んでいます。
そのデータベースとともに、SAP のインストールされたインスタンスを構築して利用します。ちなみに、RDS は、利用できません。SAPの技術文書に制約事項として記載されています。
また、ここでは、丁寧に、SAP Business Suite on SAP HANA と書かれていますが、通称で、Suite on HANA と呼ばれることも多いです。
よく、SAP S/4HANA というキーワードが出てきますが、SAP Business Suite は、その前のバージョンの製品と考えてください。
Question 2
問題
グローバルな小売企業は、SAP アプリケーションを AWS に移行したいと考えています。現在、同社の SAProuter は、自社のデータセンターの DMZ にあります。同社は、AWSクラウドで同様のアーキテクチャを維持したいと考えています。
これらの要件を満たす最も安全なソリューションは何ですか?
A)SAProuterソフトウェアがインストールされているインスタンスをVPCのパブリックサブネットに起動します。
インスタンスにElastic IPアドレスを割り当てます。 Secure Network Communications (SNC) タイプのインターネット接続を使用します。 SAProuterインスタンスの特定のセキュリティグループを作成します。 SAPサポートネットワークへの必要なインバウンドおよびアウトバウンドアクセスを許可するルールを含めます。
B)SAProuterソフトウェアがインストールされているインスタンスをVPCのプライベートサブネットに起動します。
インスタンスにElasticIPアドレスを割り当てます。インターネットを介したSAPサポートネットワークへのインバウンドまたはアウトバウンドアクセスを許可しないでください。
C)SAProuterソフトウェアがインストールされているインスタンスをVPCのパブリックサブネットに起動します。
インスタンスにElasticIPアドレスを割り当てます。暗号化されていないインターネット接続を使用します。 SAProuterインスタンスの特定のセキュリティグループを作成します。 SAPサポートネットワークへのすべてのインバウンドおよびアウトバウンドアクセスを許可するルールを含めます。
D)SAProuterソフトウェアがインストールされているインスタンスをVPCのパブリックサブネットに起動します。
インスタンスにElasticIPアドレスを割り当てます。 Secure Network Communications(SNC)タイプのインターネット接続を使用します。 SAProuterインスタンスの特定のセキュリティグループを作成します。 SAPサポートネットワークへのすべてのインバウンドおよびアウトバウンドアクセスをブロックするルールを含めます。
解説
これは、SAP Support 接続に関する問題です。知っている人は、解答は A と即答できるのですが、そもそも、SAP Router で何だ?という話ですよね。
SAP Routerについては、以下のページをぜひ読んでください。
SAPのソフトウェアのサポート要件として、利用する会社の社内に、SAP Solution Manager というインスタンスが最低1台以上と、SAP Router によるSAPとの接続が必要とされています。ちなみに、SAP Solution Manager は、AWS にも、Systems Manager というのがありますが、似たような考え方で、SAP Solution Manager は、主に、その社内のSAPインスタンスのソフトウェア保守をする目的で利用します。
SAPは、ソフトウェアの不具合などは、SAP Support のサイトにインシデントを登録して調査を依頼しますが、その際に、SAPのサポートの担当者が、SAPからリモート接続をして調査をすることがあり、そのための接続ポイントをユーザーが設けることになっています。
ですので、パブリックサブネットに、SAP Router をインストールしたEC2インスタンス(WindowsでもLinuxでもどちらでもOKです)を用意して、そこに、SAPにしか接続できないセキュリティグループを設定し、SNC接続(暗号化接続)をすることで接続点を確保します。
SAP Router ストリングという設定もあり、この設定で接続先を制限するといったことも可能となっています。
Question 3
問題
SAPソリューションアーキテクトは、開発システム、品質保証システム、および本番システムで構成される3システムランドスケープを設計する必要があります。
システムはAmazonEC2インスタンスで実行されます。 開発システムと品質保証システムは平日8時間稼働します。 本番システムは24時間年中無休で稼働します。
本番システムのサイズは、来年中に大幅に増加します。 SAPソリューションアーキテクトは、本番の能力が常に利用可能であることを保証するための設計を作成する必要があります。
EC2インスタンス購入オプションのどの組み合わせがこれらの要件を最も費用効果的に満たすでしょうか? (2つ選択してください。)
A)開発システムと品質保証システムのオンデマンドインスタンス
B)開発システムと品質保証システムのスポットインスタンス
C)本番システムのスポットインスタンス
D)本番システムのオンデマンド容量予約を含むEC2インスタンス節約プラン
E)本番システムのオンデマンドインスタンス
解説
SAPシステムは、「3ランドスケープ」というキーワードがあり、アドオンプログラムやカスタマイズを開発する環境、そのプログラムを品質保証システム(検証システムとも呼びます)に入れて検証する環境、そして本番稼働をするシステムの3つを用意することが推奨されています。
ここでは、そのインスタンスの稼働するコストを節約するにはどうしたらよいかという問題です。
多くのユーザさんでは、開発システム、品質保証システムは、本番稼働が開始されると、利用頻度が下がるため、オンデマンドインスタンスで利用時間を制限することでコストの節約が図れます。本番稼働のインスタンスにおいては、24時間稼働をすることが多いので、リザーブドインスタンスを含めたリソースの予約をできるインスタンスの利用が推奨されます。
ですので、ここの解答は、A と D になります。
Question 4
問題
グローバルな小売企業には、AWS上の専用 SAP VPC のプライベートサブネットで実行される SAP Fiori embedded な SAP S/4HANA Finance アプリケーションサーバーがあります。データベース層は、同じプライベートサブネットにある SAP HANA で実行されます。同社は、パブリックサブネットにネットワークロードバランサー(NLB)を導入しました。
同社は、AWSネットワークの外部からSAPアプリケーションサーバーにユーザートラフィックを直接送信するようにNLBを構成しました。SAPソリューションアーキテクトは、パブリックインターネットWebアプリケーションを介したリモートアクセスのために、ユーザーインターフェイス(UI)レイヤーのWebサービスを公開する必要があります。アプリケーションは、URLリダイレクト、フィルタリング、書き換えなどのクロスドメインリクエストを処理します。
アーキテクチャ全体は、SAP HANA データベースコンポーネントと SAP アプリケーションコンポーネントのホットスタンバイを備えた複数のアベイラビリティーゾーンに分散されます。既存のNLBはそのまま機能します。フェイルオーバー中、SAPがインストールされて実行された後、NLBはユーザートラフィックをセカンダリアベイラビリティーゾーンにリダイレクトします。
SAPソリューションアーキテクトは、UIレイヤーのWebサービスとSAPアプリケーション間の接続をどのように安全に実装できますか?
A)NLBとAmazon Route 53を使用して、暗号化されたトラフィックをインターネットからプライベートサブネットにインストールされているSAP Fioriアプリケーションに直接送信します。
B)SAPアプリケーションと同じプライベートサブネットに Public IP アドレスのないSAP Web ディスパッチャをインストールします。 NLBからのHTTPS要求のみを受け入れるように SAP Web ディスパッチャーを構成します。バックエンド SAP アプリケーションのセキュリティグループルールで SAP Web ディスパッチャのIPアドレスを許可します。
C)Webサービスとビジネスロジックを含むオブジェクトを利用できるサードパーティツールをインストールします。
D)パブリックサブネットにSAP Web Dispatcher をインストールします。 NLBからのHTTPS要求のみを受け入れるようにSAPWebディスパッチャーを構成します。 SAPをインストールします。バックエンドSAPアプリケーションのセキュリティグループルールでSAP Web ディスパッチャのIPアドレスを許可します。
解説
SAP用語をまず解説します。
SAP S/4HANA: SAP社の SAP Business Suite (SAP ERPなど)の後継製品です。SAP Business Suiteとは異なり、データベースは、HANAのみが使用できます。
SAP Fiori: Fiori は、SAP が提供する Web ベースの UI です。JavaScript で書かれています。S/4HANAには、標準で搭載されています。
SAP Web ディスパッチャ: SAPが提供するリバースプロキシ製品です。SAP社のサポートが受けられます。ですので、SAPソリューションでは、Webの負荷分散をしたり、セキュリティを確保する場合に利用します。
ここでは、NLB で負荷分散して、SAP Web ディスパッチャに接続し、そのバックエンドにSAPインスタンスを置くことでセキュリティと可用性の確保を図ろうという考えかと思います。なので、D が推奨される構成になります。
次の記事に続きます。